Forum: PC Hard- und Software Öffentlicher Internet-PC - was muß alles drauf?

Hi,

ICQ, Skype und zur Not halt eine Verknüpfung auf meebo.com ;)

Wichtig im Browser: Per Default Private Browsing aktivieren aktivieren 
und nach Möglichkeit IE komplett verbannen.

Im Browser möglichst das Ausführen und Installieren von Plugins 
unterbinden.

Ansonsten Virenscanner und Anti-Spyware-geraffel installieren (wenns 
Antivir sein muss, NICHT die Personal-Version, das kann Ärger geben!)

Ansonsten den Windows-(?)Benutzer-Accound so weit wie möglich 
einschränken - habe selber schon ziemlich üble Sachen auf den Kisten 
entdeckt.

Bei solchen öffentlichen Inet-PCs wäre ich manchmal richtig froh um 
Linux, da können die wenigsten User was kaputt machen ;)

Achja: den Benutzern/Hostelbetreibern ne Möglichkeit zum schnellen 
Plattmachen geben, sprich Acronis o.ä. damit man die Kiste nach 
Software-Vandalismus schnell wieder flott machen kann

HTH

nutz doch einfach ne live cd(ubuntu)! nach neustart ist das system 
wieder frisch ..... das minimiert ein trojaner , keylogger, diverese 
weiteres risiko

Ich würde auf so einem PC ggf. die Möglichkeit
schaffen, daß man vom PC zur CD oder zum USB Stick kopieren kann.

Aber nicht UMGEKEHRT!

Dann kann man sich zwar 'ne Mail runter laden, leider nicht 
versenden......
Das könnte für den PC jedoch besser sein, weil keiner was draufladen 
kann.
Wenn der Weg vom USB-Stick direkt ins Mailprogramm frei ist mag es ja 
noch gehen.......

Hi,
Kaffe und Kekse wäre aber auch nicht schlecht!

Wo wir schon dabei sind, das Programm vermisse ich im Urlaub häufiger:
http://www.maxr.org/showtopic.php?id=448   ;)

Ich wuerde mir da ein Ubuntu installieren, konfigurieren (benoetigeten 
Programme installieren, nicht priveligierten Benutzer anlegen, 
Window-Manager vorkonfiguieren usw.) und dann mittels "aufs" 
(http://de.wikipedia.org/wiki/Aufs; fruehner wurde da unionfs genutzt) 
einen writeable Layer drueberlegen (einfach ein leeres Filesystem auf 
der HDD), welcher bei jedem Systemstart geloescht (mkfs) wird.

Per Bootmenue koennte man dann auswaehlen, ob man mit writable Layer 
(fuer Gaeste) oder direkt das RootFS (fuer Administration, 
passwortgeschuetzt) anbooten will.

So kann man das System immer beliebig veraendern und erweitern, aber die 
Gaeste koennen hoechstens den writeable Layer zerstoeren, welcher nach 
einem Reboot automatisch geloescht wird.

Ich weiss nicht, ob es dafuer eine fertige Loesung gibt.
Bei uns in der Uni gibt so ein System (nur dass die Installation nicht 
auf der Platte liegt, sondern von einem Server kommt: 
http://www.techfak.uni-bielefeld.de/ags/rbg-neu/de/dienste-netboot.html)

> Bei solchen öffentlichen Inet-PCs wäre ich manchmal richtig froh um
> Linux, da können die wenigsten User was kaputt machen ;)

Denke ich auch.

> Achja: den Benutzern/Hostelbetreibern ne Möglichkeit zum schnellen
> Plattmachen geben, sprich Acronis o.ä. damit man die Kiste nach
> Software-Vandalismus schnell wieder flott machen kann

Am besten wäre es da (bei Linux) mit einem unionfs zu arbeiten. Da gibt 
es eine Basis-Partition, auf die nicht geschrieben wird und eine 
separate Partition, die alle Änderungen speichert. Wenn man deren Inhalt 
beim Reboot löscht (oder sie gleich auf eine RAM-Disk legt), ist danach 
ganz automatisch alles wieder beim alten.
Eine andere - systemunabhängigere - Möglichkeit wäre, das System in 
einer virtuellen Maschine einzurichten. Da gibt's oft auch die 
Möglichkeit, daß alle Änderungen am Dateisystem separat gespeichert 
werden. Dann kann man dem Benutzer sogar noch mehr Freiheiten geben, 
z.B. sogar, sich ein Programm, das er braucht, selbst zu installieren. 
Wenn er sich ausloggt, wird einfach die VM neu gestartet, und alle 
Änderungen werden verworfen.

Hallo,

Ich würde das Problem so lösen 
http://www.wintotal.de/Artikel/msct/msct.php
(Win XP)


MFG

>Ich würde etwas vorsichtiger an die sache rangehen! Dadurch, das du
>einen Internetzugang bereitstellst, gelten für dich die gleichen
>plichten, wie für die großen Internetprovider! Heisst: Du müsstest über
>einen gewissen zeitraum protokollieren, wer wann was gemacht hat, sonst
>haftest du als a für das, was mit deinem anschluss
>gemacht wurde.

Das sehe ich anders!
Wir standen vor dem selben Problem und hatten unseren Rechtsanwalt 
kontaktiert.
Die genauen Gruende kann ich dir nicht nennen, da ich nur mit der 
technischen Umsetzung zu tun hatte.
Ich glaube es kam darauf an, ob der Nutzerkreis geschlossen ist und um 
wie viele Nutzer es sich handelt usw.
Wenn wir protokolieren wuerden, dann haetten wir datenschutztechnisch 
einen riesen Aufwand.
Dass der Anschlussinhaber immer fuer alles haftet halt ich fuer ein 
Maerchen.

>Ich arbeite in einem Krankenhaus, indem wir für die Patienten kostenlos
>Internet anbieten. Dort bekommen die Patienten eine Kennung gegen
>vorlage des Perso's. Mit dieser Kennung melden sie sich an unseren
>Internet Subscriber an und können surfen.

Es gibt Menschen, die mit dem Internetzugang Unfug anstellen und es gibt 
welche, denen einfach nur der Schutz ihrer Privatspaehre wichtig ist.
Was macht ihr, wenn jemand genau wissen will, was mit seinen Daten 
passiert und z.B. Einsicht in das oeffentliche Verfahrensverzeichnis 
fordert?
Habt ihr das alles so korrekt nach Gesetz dokumentiert?

Ich bin 100% fuer Datensparsamkeit! Und wenn jemand Mist baut und z.B. 
jemanden Betruegt: Pech gehabt!
Dafuer die Privatsphaehre der 99,99% ehrlichen Menschen zu gefaehrenden: 
nie und nimmer!
Selbst wenn es per Gesetz von unseren Stasi-Volksverraetern verlangt 
wird: dann gibt es eben eine technische Panne und fertig...

> Ich würde auf so einem PC ggf. die Möglichkeit
> schaffen, daß man vom PC zur CD oder zum USB Stick kopieren kann.
>
> Aber nicht UMGEKEHRT!
Vom Gefühl nutzt egberto Windows... und damit war es das wohl mit deinem 
Vorschlag. Außerdem könnte man sich noch von einem Webspace aus, 'böse' 
Dinge herunterladen.
(Ich lasse mich aber gerne eines besseren belehren.)

> Dann kann man sich zwar 'ne Mail runter laden, leider nicht
> versenden......
Wieso? Die Mail, die gerade erstellt wird, existiert eh nur im RAM (oder 
der Virtuellen Auslagerungsdatei oder bei Linux im Swap).

> Das könnte für den PC jedoch besser sein, weil keiner was draufladen
> kann.
Erklär mal wie das gehen soll. Dann könnten alle Anwenungen ja auch 
nichts speichern, die laufen ja unter dem gleichen Benutzer und dessen 
Rechten.

> Wenn der Weg vom USB-Stick direkt ins Mailprogramm frei ist mag es ja
> noch gehen.......
Wie soll der Weg denn versperrt sein?

Wie schon geschrieben: "Ich lasse mich aber gerne eines besseren 
belehren."

Das Zauberwort heißt Kiosk-Modus

http://www.wintotal.de/Artikel/msct/msct.php

> Das Zauberwort heißt Kiosk-Modus
>
> http://www.wintotal.de/Artikel/msct/msct.php
Das meiste scheint das oben vorgeschlagene ab zu decken. Speichern auf 
Festplatte scheint aber für Kleinkram aber trotzdem möglich sein. Und 
die USB-Sticks/Festplatten-Geschichte wird da anscheinend auch nicht 
abgedeckt.

Schon mal Danke für die Antworten!

1. Es wird (soll) WIndows werden (ich hätte mit einem Linux kein Problem 
gehabt).

2. Ich will da nicht ständig supporten, die Betreiber kennen sich so 
halbwegs mit WIndows aus - den Kioskmodus hatten wir schon probiert, ist 
in dieser Konstellation wenig geeignet.

3. Der PC steht im Empfangsbereich, da ist immer jemand (bzw. sonst ist 
da zu); es ist also eine gewisse Aufsicht vorhanden (Ich hatte da einen 
PC im Kioskmodus für ca. 1,5 Jahre stehen - das Problem waren nicht die 
Nutzer, sondern der Kioskmodus!).

4. Ich würde mir dann ein Image ziehen und ggf. das Teil darüber wieder 
herstellen.

Ich suche also Programme, die die Leute benutzen - ok, manche machen 
sich an so einem PC auch Outlook an und wundern sich, das ihre Mails da 
nicht ankommen ;-)

Grüße,

egberto

juhu und wie schnell schafft es die kiste zur totalen viren schleuder 
und einem password wöterbuch ?

Ich denke immer noch, daß für die Systemintegrität Virtualisierung eine 
gute Lösung wäre.
Zu der Software wurde ja schon einiges geschrieben. Das deckt es meines 
Erachtens schon ganz gut ab.

@ egberto
Nur so aus Neugier:
Was störte bei 2) und 3) sm Kiosk-Modus genau?

was mir gerade noch eingefallen ist:

im Netzwerk aussperren!
also die Rechner entweder "raussubnetten" oder direkt auf eine andere 
DSL-Leitung legen.

Der Fehler dürfte recht häufig passieren und die Betreiber sind sich 
nicht im Klaren, dass man sich mit ein paar Klicks über viele schöne 
Daten hermachen kann ;)

Alex W. schrieb:
> Wer in einem Netzwerk Lufwerke ohne Passwort freigibt, ist selber
> schuld!

und das ist noch nichtmal das Problem.
Sobald öffentliche und nicht-öffentliche im gleichen Netz sind, kanns 
problematisch werden. Angenommen auf den öffentlichen wird ARP-Poisoning 
betrieben, schwupps kommt man an den nicht-öffentlichen Netzwerkverkehr 
ran. Da ist dann alles mögliche interessante dabei ;)

Gut, ein Hostel ist was anderes als 'ne Bank, vorsicht ist IMO aber 
immernoch besser als nachsicht...

@[/c]

1. das langsame booten/neu starten (ist nicht so die Top Hardware)
   Manchmal warten dann auch schon mehrere - der User meldet sich ab-> 
die Kiste bootet, stellt sich vom Image wieder her.........

2. Unzumutbare Pflege für die Betreiber-> man muß da schon wissen wie 
man es macht, sonst sind die Änderungen nach dem boot wieder weg

3. Durch die Restriktionen (oder warum auch immer (ist halt Windows)) 
haben die Betreiber wohl im Stress die Kiste ab und zu 
ausgeschaltet->will jetzt immer in den abgesicherten Modus (startet aber 
normal)-> da hat das Kiosk Image wohl einen Schlag abgekrigt


Ach ja, Virenscanner ist drauf, das Teil steht in der untrust Zone 
(Hardwarefirewall)

Mir ist klar, das es ein Kompromiß aus Bedienbarkeit und Sicherheit 
wird, total Zunageln ist aber keine Option....


Grüße,

egberto

Was ist ein Hostel?
Und warum sollte man sich mit Windows bei einem (öffentlichen) 
Surfterminal rumärgern?
Welche Software (Browser mit entsprechenden Plugins, ICQ, Skype, vlc, 
gimp, ...) du brauchst, kannst nur du selber entscheiden.

>Wo wir schon dabei sind, das Programm vermisse ich im Urlaub häufiger:
>http://www.maxr.org/showtopic.php?id=448   ;)

Was ist es?

>3. Durch die Restriktionen (oder warum auch immer (ist halt Windows))
>haben die Betreiber wohl im Stress die Kiste ab und zu
>ausgeschaltet->will jetzt immer in den abgesicherten Modus (startet aber
>normal)-> da hat das Kiosk Image wohl einen Schlag abgekrigt

Das wird wohl immer passieren koennen. Ich zitiere:(ist halt Windows)

Gast

-gast- schrieb:
> Was ist ein Hostel?

Sowas wie ne Jugendherberge.

> Und warum sollte man sich mit Windows bei einem (öffentlichen)
> Surfterminal rumärgern?
> Welche Software (Browser mit entsprechenden Plugins, ICQ, Skype, vlc,
> gimp, ...) du brauchst, kannst nur du selber entscheiden.

Das frage ich mich auch, es gibt zwar mittels Virtualisierung oder dem 
Kiosk-Modus nette Methoden um Windows abzuschotten, aber ich würde auch 
sofort zu einem unixoiden System greifen. Die Zeit die man dort in die 
Konfiguration steckt bis alles läuft spart man sich hinterher mindestens 
wieder 10x ein, da es der Durchschnittsgau schwer haben wird irgendwas 
böses zu machen.

m.E. kommt aus zwei Gründen für diesen Einsatzzweck nur Windows in 
Frage. Erstens sind die Betreiber keine EDV-Freaks und zweitens werden 
min. 90% der Nutzer Windows-Anwender sein. Ein Teil der Leute ist schon 
überfordert, wenn auch nur ein Icon an der falschen Stelle plaziert ist. 
Mit einem KDE- oder Gnome-Desktop werden die sich nicht anfreunden 
können/wollen.
Ich kann das Geschrei nicht mehr hören, daß Windows sooo schlecht und 
Linux sooo viel besser ist. Spätestens seit Windows 2000 sind alle 
gängigen Betriebssysteme gleichwertig, wobei jedes seine speziellen Vor- 
und Nachteile hat. Man kann Windows problemlos so absichern, daß die 
User keinen Schaden anrichten. Ich habe seit 2003 ein PC-Kabinett in 
einer Schule laufen, das ohne jegliche 3rd-Party-Lösungen gegen 
Benutzerunfug abgesichert wurde. Auschließlich mit Windows-Bordmitteln 
(Gruppenrichtlinien). Bisher hat es keiner der Schüler geschafft, auch 
nur ein Byte am System zu verdrehen. Man muß halt nur wissen, wie man 
das macht. Und auch diesen Punkt haben alle Systeme gemeinsam, sichere 
Administration ist nicht trivial, sie benötigt ein Minimum an 
Fachwissen.
Ich würde auch keine veraltete Hardware hinstellen, denn halbwegs 
leistungsfähige (Marken-)PCs der P4-Generation oder höher sind auf dem 
Gebrauchtmarkt schon für unter 50,-€ zu haben. Warum also mit einer 
Uralt-Möhre rumquälen? Die User würden das bestimmt auch nicht mögen.

Noch ein Tip, wenn nicht Kiosk-Mode, dann eben eine Autorecovery-Lösung 
benutzen, z.B. den PC-Sheriff:

http://www.schwarz.de/distribution/produkte/pc-sheriff/pc-sheriff-pcinet

Möge er Internet-Cafes besuchen und sich die darauf befindliche Software 
anschauen !
Zur Verwaltung und Abrechnung der dort eingesetzten Rechner existiert 
mittlerweile kommerzielle Software, diese sollte auch 
sicherheitsrelevante Sachen abdecken. Ich würde mal darauf tippen, daß 
diese Softwarepakete die gesamte Einrichtung und Konfiguration eines 
'Internet-Cafe-Rechners' erledigen bzw. unterstützuen.

>m.E. kommt aus zwei Gründen für diesen Einsatzzweck nur Windows in
>Frage. Erstens sind die Betreiber keine EDV-Freaks und zweitens werden
>min. 90% der Nutzer Windows-Anwender sein.

Ich kann es schon lange nicht mehr hoeren!
Immer wieder der selbe Sch****...

>Ein Teil der Leute ist schon
>überfordert, wenn auch nur ein Icon an der falschen Stelle plaziert ist.
>Mit einem KDE- oder Gnome-Desktop werden die sich nicht anfreunden
>können/wollen.

Wenn jemand bereits ueberfordert ist, wenn "nur ein Icon an der falschen 
Stelle plaziert ist", dann frage ich mich, wie diese Person so durchs 
Leben kommt.
So eine triviale Transferleistung sollte jeder hinbekommen. Das wuerden 
doch sogar Primaten noch schaffen!

@ egberto
Danke!

@Daniel F. (df311)

diese software is schund ... wir habens selbst während unserer 
ausbildung schon geschafft wächter karten (hardware) so zu verarschen 
das wir dinge dauerhaft in die installtion rein bekommen haben... unsere 
lehrer haben damals nicht schlecht geuckt

die arbeiten alle nach zwei prinzipien
=> entweder speichern was geändert wurde und das dann zurück schreiben
=> image irgendwo liegen haben und das bei jedem neustart drüber ziehen